strefapl

Рейтинг
300
Регистрация
17.12.2008
Интересы
музыкант
Экспорт статей из CHM в Wordpress

Эх, темка ностальгию навеяла. Помню, как в прошлой жизни таким баловались, клепая сателлиты под Сапу. Делали, но как - не помню.

access_log - левая кодировка, ну никак не исправить

Хех, нашел дятла, долбится в админку, 20к запросов. Прибил.

Вообще, как я понимаю, такое регулярно случается и спасения от этого нету - только периодически логи смотреть и прибивать айпи. Я так делаю раз в несколько месяцев.

access_log - левая кодировка, ну никак не исправить
Sitealert:
Естественно. За текущий день лог в первозданном виде, за предыдущие дни - заархивирован.

Вот это я тормознул. Действительно. Давно просто занимался.

Спасибо всем!

Хостер гонит: спам с сайта шлют. Спасайте!
Sitealert:
А может быть, и не было никакого шелла. И уязвимость, может быть, здесь ни при чём. Может быть, у Вас работает функция ответа на мэйл, который спамер забивает в форму обратной связи как якобы свой. Типа "прислать копию на этот адрес". И шлёте автоматом копии на все адреса. Проверьте этот вариант.

Да нет.

Мне телегу прислали вот такую, там более 1000 мейлов отправлено за пару часов:

Mar 6 13:49:20 bestia splogger[16911]: 1ckqCc-0004Oh-NJ Completed
Mar 6 13:49:27 bestia splogger[18902]: 1ckqCl-0004us-56 X-PHP-Originating-Script: "8917:class-phpmailer.php"
Mar 6 13:49:27 bestia splogger[18902]: 1ckqCl-0004us-56 <= mylogin@bestia.timeweb.ru U=mylogin P=local S=2787 id=d01f9ae14de6c4763e5bf596ef1a6272@mysite.ru
Mar 6 13:49:27 bestia splogger[18909]: 1ckqCl-0004uz-5g X-PHP-Originating-Script: "8917:class-phpmailer.php"
Mar 6 13:49:27 bestia splogger[18909]: 1ckqCl-0004uz-5g <= mylogin@bestia.timeweb.ru U=mylogin P=local S=2796 id=e18ac46cf780c2326338b21eeef28a25@mysite.ru
Mar 6 13:49:27 bestia splogger[18919]: 1ckqCl-0004v9-6D X-PHP-Originating-Script: "8917:class-phpmailer.php"
Mar 6 13:49:27 bestia splogger[18919]: 1ckqCl-0004v9-6D <= mylogin@bestia.timeweb.ru U=mylogin P=local S=2784 id=45e2d21347e4df8988132c087b9dda74@mysite.ru
Mar 6 13:49:27 bestia splogger[18926]: 1ckqCl-0004vG-6o X-PHP-Originating-Script: "8917:class-phpmailer.php"
Mar 6 13:49:27 bestia splogger[18926]: 1ckqCl-0004vG-6o <= mylogin@bestia.timeweb.ru U=mylogin P=local S=2793 id=983fe3344d50671c4348a8862240d213@mysite.ru
Mar 6 13:49:27 bestia splogger[18915]: 1ckqCl-0004uz-5g => wart-195@yandex.ru R=dnslookup T=remote_smtp H=mx.yandex.ru [2a02:6b8::89] X=TLS1.2:RSA_AES_128_CBC_SHA256:128 C="250 2.0.0 Ok: queued on mxfront12h.mail.yandex.net as 1488797367-92CxlZFbAg-nRIa6FJW"
Mar 6 13:49:27 bestia splogger[18915]: 1ckqCl-0004uz-5g Completed
Хостер гонит: спам с сайта шлют. Спасайте!

Ок, все понял. Хостеру отписал - а тот шутник, врубил снова возможность отправки писем, мол, такая функция входит в услугу, и с вас санкции сняты. Еще раз попросил отключить - еще раз ответил, мол, санкции сняты. При этом грозит, если еще раз будут слать спам, то вырубит акк :) Таймвеб )

Но в целом, службой поддержки доволен - оперативные ребята, помогли.

Хостер гонит: спам с сайта шлют. Спасайте!

Добавлю, что сверху на обновленный ВП закинул файл class-phpmailer.php из этой темы https://ru.wordpress.org/support/topic/уязвимость-php-mailer/page/2/

Может, и не надо было, но в нем версия этого самого майлера выше чем в обновленном вордпрессе, не знаю почему )

Хостер гонит: спам с сайта шлют. Спасайте!
l1mon:
Не спец в вп, но по моему вы используете левую старую версию от левого старого сайта.

Официальный русский сайт - https://ru.wordpress.org/ и официальная версия 4.7.3

Да, верное, не углядел как-то.

Поставил плагин restore wordpress update, обновился до 4.7.3, поудалял неиспользуемые плагины, прогнал айболитом.

Жалобы были в целом на файл class-phpmailer.php - при обновлении вордпресса айболит на него не ругается.

Шелла так и не сыскал. Все пообновлял, подчистил, ну не знаю, заканчивать на этом или нет, хостер вырубил возможность отправлять письма.

Чего еще можно предпринять?

Хостер гонит: спам с сайта шлют. Спасайте!
Maxiz:
У тебя уже весь сайт заражён. А заразился через класс PHPMailer ,в котором была обнаружена критическая уязвимость ещё в декабре 2016г.
Чисть весь сайт с помощью AI-Bolit, а так же ищи левые срипты и шеллы, который Ai-Bolit не всегда найти может. Если есть ещё неизолированые друг от друга сайте у тебя на акаунте на хостинге, то придётся их тоже чисить.

Да, это виртуальный хостинг.

Выкачал все сайты на комп, засканил айболитом, то, что он понаходил, подправил. Но ничего похожего на вирусы. Вообще как шелл должен выглядеть? Это же какой-то левый файл, или это приписка в стандартный файл?

Чем еще можно засканить после айболита?

Хостер гонит: спам с сайта шлют. Спасайте!
u3Bepr:
1. накатить поверх существующего ВП свежую версию с офф.сайта
2. подключить логер ПОСТ-запросов и отследить к какому скрипту идут обращения для спама, а дальше найдете где шэл спрятан

Спасибо, но тут дело в том, что я использую как раз последнюю версию из сайта mywordpress.ru, то есть, обновляться далее некуда.

---------- Post added 06-03-2017 at 19:01 ----------

А если этот class-phpmailer.php вообще грохнуть (т.к. с сайта ничего не рассылаем), это решил проблему?

Сколько сейчас стоит поднятие тИЦ?
Victor070:
Слышу уже семь лет, что ТИЦ не нужен никому. В итоге ссылки как скупали, так и скупают.

Не для ТИЦ же ))

1... 232425262728293031 ...266
Всего: 2659